2013年のアキレス腱だったパスワード--2014年はどうなる?

John Fontana (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2014-01-08 07:30

 2013年には、多くの人がパスワードを盗まれた。中には、盗んだ人もいるだろう。

 米国防高等研究計画局(DARPA)の遺物であるパスワードは、かつては各自の頭の中にある秘密だった。しかし2013年には、盗まれたパスワードダンプを晒すPastebinやDump Monitor、そしてインターネットのさまざまなブラックホールでハッカーにもてあそばれる情報へと、簡単に変わるということが度々起こった。

 新しいクラッキングツールでは55文字までのパスワードを解読することが可能になっており、IT部門やエンドユーザーはパスワードを使った方法はもう終わりだと感じつつある。

 無数のパスワードが、Adobe(3800万件)、MacRumors(86万件)、Ubuntuのフォーラム(182万件)、GitHub(未発表)などのサイトから盗まれている。安全だったパスワードは少なかったと言えるかもしれない。

 当初は、パスワードが盗まれたサイトのアカウントへのアクセスが問題になったが、多くのユーザーが複数のサイトで共通のパスワードを使用しているため、ハッカーたちは、盗まれた認証情報を、ゲームのネットワークや銀行などの、より実入りのいいサイトで使用することに価値を見いだすようになった。

 盗まれた認証情報は、他にも巧妙な方法で悪用されている。

 2013年始めにNew York Timesをダウンさせるのに使われたのは、フィッシングで盗まれたパスワードだった。このパスワードは、オーストラリアのDNSレジストラから盗まれたもので、DNSレコードのポイズニングに使用され、nytimes.comのトラフィックがリダイレクトされた。

 2013年に問題になったのは、盗まれたパスワードそのものではなく、それがユーザーに対してどう悪用されたかだったと言える。

 Facebook、Google、GitHub、Twitterなどの大手サイトでは、オプションとして2要素認証が導入されるようになった。Googleは、2要素認証を義務化すると発言した。この技術は万能薬ではないが、ユーザー名とパスワードを認証情報として使う従来の方法よりは優れている。

 ユーザーの観点から見れば、2014年には2要素認証が「強い」認証オプションとして事実上の標準になると期待できる。スマートフォンの普及は、この導入を後押しするだろうが、ユーザーは利便性が落ちるのを好まないため、手間がかかる2要素認証には不満の声が出るだろう。要するに、認証情報を何度も入力する必要のある現在の2要素認証に抵抗が出てくるのは避けられないことで、パスワードハッキングによるエンドユーザーの被害がいくら増えても、この抵抗が消えることはないと思われる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]